FSMO Rolleri

fsmo rolleri

fsmo rolleri

Bu makalemde sizlere FSMO rollerini nasıl bir sunucudan bir başka sunucuya transfer edebileceğimizi anlatacağım.

Bildiğiniz üzere Active Directory domain’lerinde 5 farklı sunucu rolü bulunmaktadır. Bunlar:

  • Schema Master (Forest bazlı ve her forest’ta tek)
  • Domain Naming Master (Forest bazlı ve her forest’ta tek)
  • RID Master (Domain’e özel ve her domain’de tek)
  • PDC Emulator (Domain’e özel ve her domain’de tek)
  • Infrastructure Master (Domain’e özel ve her domain’de tek)

Çoğu zaman sistem yöneticileri bu 5 rolün tamamını tek bir DC makina üstünde toplarlar. Active Directory kurulumunu tek bir sunucuya yapıyorsanız zaten tüm roller o sunucuya kurulacaktır fakat rolleri farklı sunuculara taşıma gerekliliği doğabilir. Bu durumda eğer rolleri taşıyan sunucuya erişebiliyorsanız transfer komutuyla rolleri başka bir sunucuya aktarmanız mümkündür.

Rollerin transferini 3 farklı şekilde gerçekleştirmek mümkündür. Bunlar:

  • NTDSUTIL komut satırı aracı
  • Active Directory Schema mmc aracı
  • Active Directory Domains and Trusts mmc aracı
  • Active Directory Users and Computers mmc aracı

FSMO rollerinin transferini yapabilmek için aşağıdaki gruplardan birine üye olmanız gerekmektedir.

FSMO Rolü Admin’in üyesi olması gereken grup
Schema Schema Admins
Domain Naming Enterprise Admins
RID Domain Admins
PDC Emulator
Infrastructure

 

RID Master, PDC Emulator ve Infrastructure Master rollerinin grafik arabirim ile transferini yapmak için:

  1.  Administrative Tools altından ADUC’u çalıştırmalı
  2. Hedef DC’ye bağlı değilsek Connect to Domain Controller seçeneğine tıklayarak hedef DC’ye bağlanmalı
  3. Rolün yeni sahibi olacak DC’yi seçmeli
  4. ADUC simgesine sağ tıklayarak Operations Masters’ı seçmeli
  5. Transfer etmek istediğimiz rolün sayfasını seçmeli
  6. Change düğmesine tıklamalı ve OK’leyerek onaylamalıyız.

Domain Naming Master rolünün grafik arabirim ile transferini yapmak için:

  1. AD Domains and Trusts panelini açmalı
  2. Hedef DC’ye bağlı değilsek “Connect to” seçeneğiyle hedefe bağlanmalı
  3. Rolün yeni sahibi olacak DC’yi seçmeli
  4. AD Domains and Trusts simgesine sağ tıklayıp Operations Masters’ı seçmeli
  5. Change düğmesine tıklamalı ve OK’leyerek onaylamalıyız.

Schema Master rolünün grafik arabirim ile transferini yapmak için:

  1. Komut satırını açarak “regsvr32 schmmgmt.dll” yazıp enter’lıyoruz. Böylece Schema Management mmc snap-in’ikullanıma hazır hale geliyor.
  2. MMC panelini açıp Add/Remove Snap-in’e tıklıyoruz.
  3. Açılan pencereden Active Directory Schema’yı seçip add diyoruz.
  4. Hedef DC’ye bağlı değilsek AD Schema ikonuna sağ tıklayarak “Change Domain Controller”ı seçiyoruz.
  5. Specify’a tıklayıp rolün yeni sahibini seçiyoruz.
  6. AD Schema ikonuna sağ tıklayıp Operations Masters’ı seçiyoruz.
  7. Change düğmesine tıklayıp OK ile onaylıyoruz.

Rollerin NTDSUTIL komut satırı aracı kullanılarak transferi için:

Start>Run’a tıklayıp cmd yazarak komut satırına ulaşıyor ve ntdsutil yazarak aracı çalıştırıyoruz:

Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.
C:\WINDOWS>ntdsutil
ntdsutil:

Roles yazıyoruz.

ntdsutil: roles
fsmo maintenance:

Connections yazıyoruz.

fsmo maintenance: connections
server connections:

Connect to server <server ismi> yazıyoruz.

server connections: connect to server server100
Binding to server100 ...
Connected to server100 using credentials of locally logged on user.
server connections:

“q” yazıp enter’lıyoruz.

server connections: q
fsmo maintenance:

Transfer <role> yazıyoruz. Burdaki <role> transfer etmek istediğimiz rol. Aşağıdaki şekilde hangisini transfer etmek istiyorsak buraya onu yazıyoruz.

Transfer domain naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master

Sonrasında karşımıza çıkan uyarı penceresini “yes” diyerek geçiyoruz. Quit ya da “q” yazarak ntdsutil’den çıkıyoruz ve sunucumuzu yeniden başlatıyoruz. Transfer işlemi bu şekilde tamamlanmış oluyor.

Peki eğer rollerin sahibi olan DC’ye ulaşamıyorsak ne yapacağız? Böyle bir durumda seize komutu yardımımıza koşuyor.

Operasyonel olmadığı için ulaşamadığımız rol sahibi sunucudan bir başka sunucuya rolün zorla transferi işlemine “seize” (ele geçirme) diyoruz.

Rolleri genellikle süresiz olarak başka bir sunucuya taşıyabilmemize ve böylece sistemimizin çalışır halde kalmasına yardımcı olan, fevkalade faydalı bir özellik.

Elbette ilk yapmanız gereken bozulan rol sahibi  sunucunuzu en kısa zamanda tekrar ayağa kaldırmak olmalıdır. Bu mümkün olmadığında rolün bir başka sunucuya geçici ya da süresiz transferi gündeme getirilmelidir.

Aslında FSMO rollerinden herhangi birinin çalışmıyor olması size anlık bir problem olarak yansımayacaktır. Örneğin RID Master rolü çalışmıyor olsa bile (çoklu sunucu konfigürasyonunda) önceden yaratılmış olan RID havuzu tükenene kadar ruhunuz dahi duymayacaktır. Yeni bir AD objesi yaratamadığınızda rolün çalışmıyor olduğunu öğrenmeniz mümkündür. Durumdan saatler hatta günler sonra haberdar olabilirsiniz.

Seize işlemine başlamadan önce rol sahibi sunucunun ağa bağlı olmadığından emin olmanız gerekir. Çalışan bir rol sahibi sunucudan seize işlemi yapılmamalıdır ve buna gerek de yoktur çünkü transfer komutuyla transfer etmek mümkündür.

Peki FSMO rollerininin seize ya da transfer işlemini zamanında gerçekleştiremezsek ne gibi problemler yaşarız?

FSMO Rolü Belirtiler
Schema AD şemasının extend ya da upgrade işlemi mümkün olmayacaktır. Rolün yokluğu ancak şema ile ilgili bir işlem yapılmak istendiğinde hissedilecektir.
Domain Naming Master Yeni bir domain kurulumu yapmadığınız sürece bu role ihtiyaç duymayacaksınızdır.
RID Master Mevcut DC’lerinizde muhtemelen uzun süre yetecek büyüklükte bir RID havuzu bulunuyordur. Dolayısıyla her hafta yüzlerce bilgisayar ya da kullanıcı eklenen bir yapınız yoksa uzun süre bu rolün yokluğunu hissetmeyebilirsiniz.
PDC Emulator Bu rolün yokluğu kısa zamanda kendini hissettirecektir. NT 4.0 BDC’leriniz replike olamayacaktır. Domain’de saat senkronizasyonu gerçekleşmeyecektir. Group Policy ya da password resetleme işlemlerinde problemler yaşayacaksınızdır.
Infrastructure Master Sadece bir domain’e sahipseniz problem yaşamazsınız fakat birden fazla domain’e sahipseniz grup üyelikleriyle alakalı sıkıntı yaşamanız muhtemeldir.

Önemli Not: RID, Schema ya da Domain Naming Master rollerini seize ettikten sonra eski rol sahibi sunucuyu kesinlikle tekrardan devreye almamalısınız. İlla bu sunucuları yeniden kullanmanız gerekiyorsa temiz bir kurulum sonrasında ağa dahil etmelisiniz. PDC Emulator ve Infrastructure rollerinde ise dilerseniz orijinal rol sahibine rolleri iade edebilirsiniz.

Ayrıca seize işlemi için Admin’in aşağıda belirtilen yetkilere sahip olması zorunluluğu vardır:

FSMO Rolü Admin’in üye olması gereken grup
Schema Schema Admins
Domain Naming Enterprise Admins
RID Domain Admins
PDC Emulator
Infrastructure

 

NTDSUTIL aracıyla FSMO rollerini seize edebiliriz.

Start>Run’a tıklayıp cmd’yi çalıştırıyoruz. Sonrasında command prompt’ta ntdsutil yazarak aracı çalıştırıyoruz.

Roles yazıp enter’lıyoruz.

Connections yazıp enter’lıyoruz.

Connect to server <server ismi> yazarak rol sahibi sunucuya bağlanıyoruz.

Server connections prompt’unda “q” tuşluyoruz.

“Seize role <rol ismi>” yazarak ele geçirmek istediğimiz rolü belirtiyoruz. Örneği RID Master rolünün seize işlemi için “seize rid master” yazmamız gerekiyor.

Seize seçeneklerimiz şöyle:

Sistem seize işlemini başlattığınızda sizi “Emin misiniz?” diye uyaracaktır. Evet’e tıkladıktan sonra aşağıdaki şekilde görüleceği üzere rol önce transfer edilmeye çalışılacak, transfer başarısız olduktan sonra seize işlemine devam edilecektir.

fsmo maintenance: Seize infrastructure master
Attempting safe transfer of infrastructure FSMO before seizure.
ldap_modify_sW error 0x34(52 (Unavailable).
Ldap extended error message is 000020AF:
SvcErr: DSID-03210300, problem 5002 (UNAVAILABLE), data 1722
Win32 error returned is 0x20af(The requested FSMO operation failed.
The current FSMO holder could not be contacted.)
Depending on the error code this may indicate a connection,
ldap, or role transfer error.
Transfer of infrastructure FSMO failed, proceeding with seizure ...
Server "server100" knows about 5 roles
Schema - CN=NTDS Settings,CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anlar,DC=com
Domain - CN=NTDS Settings,CN=SERVER100,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anlar,DC=com
PDC - CN=NTDS Settings,CN=SERVER100,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anlar,DC=com
RID - CN=NTDS Settings,CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anlar,DC=com
Infrastructure - CN=NTDS Settings,CN=SERVER100,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anlar,DC=com
Fsmo maintenance:

Önemli Not: Forest’ınızda 5 rol de bulunmalıdır. Eğer ilk dc’nizi kaybettiyseniz rollerin tamamını seize edin. Birden fazla dc’nin olduğu durumlarda hangi dc’de hangi rolün bulunacağını kararlaştırdıktan sonra yukarıdaki adımları takip ederek seize işlemini tüm roller için gerçekleştirin.

Infrastructure Master rolünü Global Catalog’un tutulduğu dc’de bulundurmayın. Bunu yaparsanız AD object bilgilerinin güncellenmesi duracaktır.

Pin It

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>